CF付费外挂破解学习分享
本帖最后由 zishen 于 2024-3-19 19:50 编辑https://www.zy35.com/ 一个CF付费外挂官网(其实可能是个骗子软件)
解压后打开发现需要购买卡密才可以使用,
年卡要365,月卡要80,十分坑人
拖进StudyPE发现没有壳,再拖到OD里面
转到地址0x401000,发现有明显易语言特征,就可以使用易语言特征码
直接ctrl+B搜索FF25 跳转
在0x411200地址处 看到了push 0x52010001 其实主页面的那个窗体
在这里就可以使用push窗体大法,可以用插件找到所有窗体,直接push即可,也可以搜索字符串,找到我们想要的窗体代码,这里使用第二种方法;
直接搜索字符串,找到可疑的位置,双击进去;
直接找到! 地址0x405F4A 处的 push 0x5201601E应该就是功能窗体
返回到地址0x411200处,可以将push 0x5201601E替换到原来的窗体
然后我们就发现破解成功了,但是问题是,这样破解出来只是天卡/周卡用户,这个软件说仅兼容Win8系统,所有还不能用,我们继续破解
再次搜索字符串,查找可疑位置:
双击字符串月卡和年卡
下个断点,然后按F9,然后我发现断不下来,于是我有往上面几个call代码都下了断点,就断下来了
然后F8调试,发现这个jle跳过了月卡和年卡,我们可以直接将其nop或者改成jg
然后再运行,就变成月卡/年卡用户了
但是经我小号测试,卖那么贵,居然还不能用!!!下面还有个到期时间没有显示,我以为是这个的问题,于是接着破解:
继续搜索字符串,找到“到期时间:”,双击
看到两个push,第一个push应该就是到期的时间,第二个push就是 “到期时间”这个字符串了,
下断点 断在第一个push的位置
在第一个push的位置,右键->数据窗口中跟随->内存地址
在数据窗口中查看,这个地方是什么都没有的,经过测试,发现这个地址存储的应该是一个字符串指针
我们在下面一行地址 即0x005EA4A4处编辑字符串,再将0x005EA4A4存储到0x5EA494,因为是小端序,所以要如图存储:
将这几处修改都打上补丁,就大功告成了!
但是经过我的小号测试,发现毛用没有!可能这是个骗子软件,也可能是我的破解方式不对!有大佬感兴趣破解完可以使用的,请务必教教我{:1_936:}
因为本人也是个新手,如有错误请指正并多多包涵,此贴也是专门面向新手分享学习经验,分享不易,请多多点赞支持!
虽然开挂不好,但教程很强 这跟卖冰糖和明矾那个一个套路吧 我记得很多年前,还有那种刷武器的空壳软件,当时也骗了好多人 我记得很多这样的空壳GG骗小孩买呢 虽然开挂不好,但教程很强 很多年前我就被骗过,{:1_937:} 以前一个同事天天买一天几块钱,但是一用就封号 虽然没成功 但是成功告诉大家伙这可能是个骗子软件 有个数 想学这些东西应该先从什么学起哦 这技术是高手啊、有空写个破解的思路呗 现在不封号了吗 风度男子 发表于 2024-3-19 19:54
现在不封号了吗
第一次试的时候,还没看到效果,把小号冻结了,再试就一点效果都没 我的建议是图像识别加物理辅助操控,才是未来:wwqwq 学到了,感谢楼主 感谢分享 应该是远程加载的吧,功能都不在本地,现在很多外挂都是这样 qqcs6 发表于 2024-3-19 20:16
应该是远程加载的吧,功能都不在本地,现在很多外挂都是这样
大佬能详细讲一下吗,远程加载应该怎么破解
感谢分享